Kurum’a intikal ettirilen şikâyet dilekçesinde özetle; ilgili kişinin bir üniversiteye bağlı tıp merkezinde tedavi hizmeti aldığı, tedavi hizmeti kapsamında aldığı şahsi terapi ve eşi ile birlikte aldığı evlilik terapisinin kayıtlarını içeren hasta dosyasının, ilgili kişi ile eşi arasında görülen boşanma davası kapsamında tıp merkezinde mesul müdür olarak görev yapan hekim tarafından herkesin görebileceği ve öğrenebileceği şekilde, hiçbir önlem almaksızın mahkemeye gönderildiği, özel hayatına ilişkin mahrem bilgileri içeren belgelerin hiçbir gizlidir ibaresi olmadan ve talep edilenden çok daha fazla ve açık şekilde kişisel veriyi içerir vaziyette mahkemeye gönderilmesi akabinde söz konusu özel nitelikli kişisel verilerin mahkeme tarafından taranarak UYAP’a kaydedildiği, bu bilgilerin, hastane çalışanları, mahkeme kalemi çalışanları, karşı taraf ve vekili dahil herkesçe okunduğu ve öğrenildiği, mahkeme müzekkeresi cevaplanırken sadece hastanın hangi tarihler arasında tedavi olduğu, tedavinin nedeni, süresi, şekli (yatış/ayakta tedavi) sonucu konusunda bilgi vermesi yeterliyken bizzat seansta tutulan notları paylaşmasının açıkça hayatın olağan akışına aykırı olduğu, ilgili kişinin bu nedenle gerek özel hayatında gerekse iş hayatında özel hayatının afişe olduğu belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında Tıp Merkezi hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu Tıp Merkezinin bağlı olduğu Üniversiteden savunması istenilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- İlgili kişinin almış olduğu tedavi hizmeti kapsamında kimlik, iletişim, müşteri işlem, sağlık, hukuki işlem ve fiziksel mekân güvenliği bilgilerinin işlendiği,
- Kanun’un 6’ncı maddesi ile “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile İlgili Kişisel Verileri Koruma Kurulunun (Kurul) 31/01/2018 tarihli ve 2018/10 sayılı Kararı kapsamında; çalışanlar için Kanun ve ikincil mevzuat konusunda düzenli eğitimler verilmesi, gizlilik sözleşmeleri yapılması, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması, hastaya ait kişisel verilerin, elektronik (HBYS: Hasta Bilgi Yönetim Sistemi) ve fiziki (hasta dosyası) ortamlarda işlenmesi, erişimin münhasıran hastaya özel tanımlanmış protokol numarasına göre gerçekleştirilmesi, elektronik ortamdaki erişimlerin, yetki-göreve dayalı modüllere göre ayrıştırılması, Doktor Modülü, Muhasebe Modülü, Randevu Modülü vb. olarak kategorize edilmesi, personelin işe girişte konu hakkında eğitim alması, “Kişisel Verilerin İşlenmesi Kapsamında Muvafakatname-Taahhütname” imzalamasını müteakip; şifreli erişim üzerinden görev modülüne göre yetki tanımlaması yapılması, bu yetkinin personelin unvanının gerektirdiği görev süresince devam etmesi, yetkilerin ise, standart ve standart dışı yetki olmak üzere ikiye ayrılması, standart dışı yetkide modül dışındaki genel nitelikli kişisel verilere erişim için birim yöneticisi, özel nitelikli kişisel verilere erişim için ise üst direktör onayı alınması ve erişim gerçekleşmesi; doktorların, kanunen sır saklama yükümlülüğü altında bulunan kişiler olması nedeniyle hastaların kimlik ve sağlık verilerinin doktorlara doğrudan açık olması ancak tıbbi veriler özel nitelikli veri olduğundan, sistem üzerinde hekim unvanı dışındaki diğer personellere kapalı olması, dolayısıyla hekimlerin kimlik ve sağlık verileri dışında (müşteri işlem ve iletişim bilgileri gibi) herhangi bir veriye erişebilmesinin mümkün olmaması, hekimler için de kendi içinde yetki kapsamının kademeli olması, buna göre hekimler bakımından elektronik sistem içerisinde “Hekim Özel” olarak textboxın mevcut olması, bu alana ilgili hekim tarafından gizlilik derecesi daha yüksek olarak değerlendirilen sağlık verilerinin işlenmesi, bu alanın tıp merkezinde istihdam olunan diğer hekimlerin de erişimine kapalı olması ve dolayısıyla sadece ilgili hastanın ilgili hekiminin erişebilmesi, fiziki dosyanın arşiv biriminde muhafaza edilmesi, arşiv görevlisinin iki kişiden oluşması, arşiv görevlileri dışında hiçbir personelin arşiv birimine giriş yetkisi bulunmaması ve sesli alarm sisteminin mevcut olması, yetki-görev kısıtları için özel olarak Bilgi Güvenliği Farkındalık Eğitimi verilmesi, arşiv personeline kişisel veriler konusunda ayrıca eğitimler verilmesi, eğitim tutanakları ve gizlilik taahhütnamelerinin özlük dosyasında saklanması, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması tedbirlerinin alındığı,
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar için verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması tedbirlerinin alındığı,
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar için özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığı, merkezde 7/24 güvenlik görevlileri bulunması, duman detektörü, sesli alarm sistemi, yangın teçhizatının tam olması, fiziki güvenlik önlemlerinin ulusal ve uluslararası kalite belgeleriyle sertifikalandırılması tedbirlerinin alındığı,
- Özel nitelikli kişisel verilerin aktarımında verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarım gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi kapsamında verilerin, kapalı olan ve açıldığı anda açıldığı belirlenebilen zarflar marifetiyle aktarılması tedbirlerinin alındığı,
- İlgili kişinin E-Nabız kapsamındaki tıbbi bilgi ve belgelerin tamamının ilgili mevzuat gereği Sağlık Bakanlığı’na aktarıldığı, bu amaçla Sağlık Bakanlığı tarafından ruhsatlandırılmış olan HBYS sisteminin kullanıldığı ve bu nedenle E-Nabıza işlenmiş olan tedavi kapsamındaki bilgi ve belgelerin yine ilgili mevzuat gereği HBYS’de de bulunduğu, aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (e) bentleri olduğu,
- İlgili kişinin boşanma davasının görüldüğü mahkeme müzekkeresine cevaben tıp merkezinin cevabi yazısı ekinde hastanın tıbbi kayıtlarının aktarıldığı, aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a) ve (ç) bentleri olduğu,
- Tıp merkezince kullanılan otomasyon sistemine özel nitelikli veri içeriği işlenmemekle birlikte, alınan hizmet kalemlerinin işlendiği (MR, Röntgen, Muayene, Laboratuvar hizmeti gibi tıbbi içeriği olmayan hizmet listesi başlıkları) ve aktarıldığı, aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a), (c ), (ç) ve (e) bentleri olduğu,
- Kanun’un 11’inci maddesine dayalı başvurusuna istinaden ilgili kişi vekiline teslim edilmek üzere ve içeriğinde sağlık verilerinden bahseden yanıt metninin, hazırlık ve görüş almak amacıyla ve sır saklama yükümlülüğü altında bulunan vekillere aktarıldığı, bahse konu hususta da aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (e) bentleri olduğu,
- Doğrudan aktarım olmamakla birlikte tıbbi verilerin, bakım firması tarafından bakım zamanlarında ve entegrasyon firmasının entegrasyon sorunlarında kontrollü ve kademeli erişimine açık olduğu, söz konusu firmalar ile ana sözleşmelerinde kişisel verilere ilişkin hüküm olduğu ve sözleşmelere ek gizlilik protokolleri olduğu, söz konusu aktarımın dayanağının Kanun’un 6’ncı maddesinin (3) numaralı fıkrası ile 5’inci maddesinin (2) numaralı fıkrasının (a), (c), (ç) ve (e) bentleri olduğu,
- İlgili kişinin boşanma davasının görüldüğü mahkeme müzekkeresi ile hastaya ait tedavi kayıtlarının talep edildiği, buna ilişkin olarak ilgili mahkemeye hasta dosyasının gönderildiği,
- Mahkeme müzekkeresinde talep edilen evrakların sağlık ve cinsel hayat ilişkin veriler içermesi halinde de cevap verilmesinin gerektiği; Kanun’un 8’inci maddesinin 2 numaralı fıkrasının (b) bendi gereği yeterli önlemler alınmak kaydıyla ilgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılabileceği,
- Türkiye Cumhuriyeti’nin bir hukuk devleti olduğu ve mahkemelerden bilgi ve belge saklanamayacağı, sır saklama yükümlülüğü altında olan kişilerin, tanıklıktan kendi tercihlerine dayalı olarak imtina edebilirse de bu hususun kanuni bir mecburiyet halinde olmadığı, zaten somut olayda ilgili hekimin mesul müdür sıfatıyla tanıklık yapmadığı; aksine talep edilen resmî belgeleri kamu görevi icra eden tıp merkezi adına iletmekle iktifa ettiği,
- Mahkeme müzekkerelerinin, taraf vekillerinin bilgisi dahilindeki ara kararlara istinaden hazırlandığı, taraf vekillerinin, uyuşmazlık konusunda özel nitelikli kişisel verilerin talep edilmesine karar verilen bir mahkeme dosyasında gizlilik kararı alınması için talepte bulunması gerektiği, zira bu durumun vekalet borcunun özen yükümlülüğünün bir sonucu olduğu, bu hususun, müzekkere sorumlusu kurumun müzekkereyi yanıtlarken dosyada gizlilik kararı bulunup bulunmadığını kontrol ve teyidini gerektirmeyeceği,
- Mahkeme dosyalarının kişilerin erişimine kapalı olduğu; münhasıran ilgili mahkemenin kalem memurları ve hakiminin erişimine açık olduğu, avukatların da Avukatlık Kanunu’nun ilgili hükümleri gereği dosya inceleme talebinde bulunması ve mahkemece uygun bulunması halinde dosyayı inceleyebildiği ve bu durumun Kanun’da açıkça öngörülen, avukatlığın kamu görevi olmasına dayalı bir durum olduğu,
- Kanun’un 28’inci maddesinde “kanunun uygulanmayacağı haller”in belirlendiği, bu hallerden birinin maddenin (1) numaralı fıkrasında, “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” olarak düzenlendiği, somut olayda gerek müzekkere gerekse yanıttan görüleceği üzere “Mahkemece veri sorumlusundan ilgili kişi hakkında bazı kişisel verilerin talep edilmesi ve veri sorumlusunun gereğinden fazla kişisel veri aktarımında bulunması”nın söz konusu olmadığı,
- İlgili kişinin hasta dosyasının üst yazı eşliğinde gönderildiği, üst yazıda ise tıbbi evrakların listelendiği, detay verilmediği, talep edilen dışında belge aktarılmadığı, dosyanın kapalı zarf içinde gönderildiği, fiziksel olarak zarfın teslimden önce açılıp açılmadığı anlaşılabilecek özelliklere sahip kapalı bir zarf tercih edildiği, ayrıca hasta dosyasının “Adreste yapılan kabul” tercihli olarak iletildiği; gönderinin en dışına PTT’nin plastik zarfının yerleştirildiği,
- Mahkemeye aktarımda özel kargo yahut kurye tercih edilmediği, kamu iktisadi kuruluşu olan PTT’nin tercih edildiği, PTT’nin adliyelerde hususi olarak yer tahsis edilmiş birimi ve personeli bulunan ve evrakları doğrudan ilgili mahkemeye aktarabilen ve dağıtım-tebliğ süreçleri mahkemeye kayıtlı ve mahkeme denetiminde olabilen yegâne kuruluş olduğu, gönderinin doğrudan mahkemeye gönderildiği,
- Somut olayda ilgili kişi bakımından evrakların gönderiminde veri maskeleme yapılmadığı, mahkemelere gönderilen müzekkere ekindeki tıbbi evraklar bakımından veri maskelemesi yapılması bilginin doğruluk ve güncelliğini ihlal edeceğinden; veriler üzerinde maskeleme işleminin, verilerin başka kurum ve kuruluşlara aktarılması halinde yapıldığı, bu durum yargı erkinin erişim hakkını sınırlayacağı için somut olayda bu tedbirlerle yetinildiği, mahkeme müzekkerelerinin dış zarfına tıp merkezleri tarafından gizlilik kaşesi basıldığı
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 14/09/2023 tarih ve 2023/1578 sayılı Kararı ile;
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Kanunun 6’ncı maddesinde “Özel Nitelikli Kişisel Verilerin İşlenme Şartları”nın düzenlendiği, buna göre, birinci fıkrada kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, ikinci fıkrada, özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, üçüncü fıkrada, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin, dördüncü fıkrada özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğunun düzenlendiği,• Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinin birinci fıkrasında kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağının, ikinci fıkrasında kişisel verilerin a) 5 inci maddenin ikinci fıkrasında, b) yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceğinin, üçüncü fıkrasında kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunun düzenlendiği,
- Şikâyete konu kişisel veri aktarımının temelini oluşturan mahkeme müzekkeresinde, “…….. boşanma (çekişmeli)) davası nedeniyle; aşağıda açık kimlik bilgileri yazılı şahsın kurumunuzda görmüş olduğu tedavilere ilişkin kayıtların çıkartılarak ivedilikle mahkememize gönderilmesi rica olunur” ifadelerine yer verildiğinin anlaşıldığı, mahkemeden iletilen müzekkerenin herhangi bir gizlilik derecesi taşımadığı,
- Veri sorumlusunun müzekkereye cevabi yazısında gönderilen belgelerin bir listesinin yazıldığı ve yazı üzerinde bir gizlilik derecesine yer verilmediği,
- Kişisel Sağlık Verileri Hakkında Yönetmelik’in “Kişisel Sağlık Verilerinin Aktarılması” başlıklı 15’inci maddesinin; “Kişisel sağlık verilerinin yurtiçinde aktarımında Kanunun 8 inci maddesine, yurtdışına aktarımında ise Kanunun 9 uncu maddesine riayet edilir.” hükmünü amir olduğu,
- Şikâyete konu belge, aile mahkemesinde görülmekte olan bir dava kapsamında ilgili mahkemeye sunulmuş olup, özel mahkemelerden olan aile mahkemelerince yapılan yargılamalara ilişkin hükümlerin, 4787 sayılı Aile Mahkemelerinin Kuruluş ve Görevleri Hakkında Kanun’da düzenlendiği, anılan Kanun’un, “Usul hükümleri” başlıklı 7’nci maddesinin (2) numaralı fıkrasında, “Özel kanunlardaki hükümler saklı kalmak kaydıyla, bu Kanunda hüküm bulunmayan konularda Türk Medenî Kanununun aile hukukuna ilişkin usul hükümleri ile Hukuk Usulü Muhakemeleri Kanunu hükümleri uygulanır” hükmünün düzenlendiğinin görüldüğü,
- Aile mahkemesinde yapılan yargılama kapsamında mahkemece talep edilen bilgi ve belgelerin ibraz edilmesi hususunda 4787 sayılı Kanun’da özel bir hüküm bulunmaması nedeniyle ilgili Kanun’da yapılan atıf gereği 6100 sayılı Hukuk Muhakemeleri Kanunu hükümlerinin incelendiği, 6100 sayılı Kanun’un, “Üçüncü kişinin belgeyi ibraz etmemesi” başlıklı 221’inci maddesinde, “(1) Mahkeme, üçüncü kişi veya kurumun elinde bulunan bir belgenin taraflarca ileri sürülen hususun ispatı için zorunlu olduğuna karar verirse, bu belgenin ibrazını emreder. (2) Belgeyi ibraz etmesine karar verilen herkes, elindeki belgeyi ibraz etmek; belgeyi ibraz edememesi hâlinde ise bunun sebebini delilleri ile birlikte açıklamak zorundadır.” hükmünün düzenlendiği,
- Somut olayda da veri sorumlusuna mahkeme tarafından yazılan bir müzekkere ile ilgili kişinin gördüğü tedavilere ilişkin kayıtların talep edildiği, veri sorumlusunun 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 221’inci maddesinde yer alan hükme uygun şekilde ve Kanun’un 8’inci maddesinin (3) numaralı fıkrasında düzenlenen “Kişisel verilerin aktarılmasına ilişkin diğer Kanunlarda yer alan hükümler saklıdır” hükmü çerçevesinde özel nitelikli kişisel veri ihtiva eden belgeleri mahkemeye sunduğu ve bu kapsamda yapılacak bir işlem olmadığı kanaatine varıldığı,
- Öte yandan, ilgili kişinin iddiaları arasında, söz konusu belgenin UYAP’a yüklenmek suretiyle üçüncü kişilerin erişimine açıldığının da belirtildiği, müzekkere ile talep edilmesi nedeniyle veri sorumlusu tarafından mahkemeye sunulan özel nitelikli kişisel veri ihtiva eden bilgi ve belgeler üzerinde daha sonra mahkeme tarafından gerçekleştirilen işlemler bakımından veri sorumlusunun tıp merkezi olmadığı, mahkeme tarafından gerçekleştirilen iş ve işlemler bakımından ise Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmünün uygulama alanı bulması nedeniyle Kanun kapsamında yapılacak bir işlem olmadığı,
değerlendirmelerinden hareketle;
- İlgili kişinin özel nitelikli kişisel verilerinin, aldığı sağlık hizmetine istinaden üniversite bünyesinde yer alan bir tıp merkezi tarafından işlenmesinin, Kanun’un 6’ncı maddesinin (3) numaralı fıkrası hükümleri kapsamında olduğuna,
- İlgili kişinin özel nitelikli kişisel verisi niteliğindeki sağlık kayıtlarının veri sorumlusu tarafından mahkemeye aktarılmasının, 6100 sayılı Hukuk Muhakemeleri Kanunu’nun 221’inci maddesinde yer alan hükme dayandığı dikkate alındığında söz konusu kişisel veri aktarımının Kanun’un 8’inci maddesinin (3) numaralı fıkrasında yer alan “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü kapsamında olduğuna,
- Aktarım faaliyetlerinde, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler konulu 2018/10 sayılı Kurul Kararı”na uygun olarak önlemlerin alınması gerektiği, bu kapsamda özel nitelikli kişisel verilerin gönderim yöntemlerinin gizlilik esaslarına riayet edilmek suretiyle seçilmesi gerektiği hususunda veri sorumlusuna hatırlatma yapılmasına,
- İlgili kişinin iddiaları arasında, söz konusu belgenin UYAP’a yüklenmek suretiyle üçüncü kişilerin erişimine açıldığı da belirtilmekle birlikte, müzekkere ile talep edilmesi nedeniyle veri sorumlusu tarafından mahkemeye sunulan özel nitelikli kişisel veri ihtiva eden bilgi ve belgeler üzerinde daha sonra mahkeme tarafından gerçekleştirilen işlemler bakımından veri sorumlusunun tıp merkezi olmadığına, mahkeme tarafından gerçekleştirilen iş ve işlemler bakımından ise Kanun’un 28’inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmünün uygulama alanı bulması nedeniyle Kanun kapsamında yapılacak bir işlem bulunmadığına
karar verilmiştir.